Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

02.11.. A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,

Hasonló előadás


Az előadások a következő témára: "02.11.. A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,"— Előadás másolata:

1 02.11.

2 A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű, de megváltozása nem is zárható ki. Pl: jogbiztonság, üzembiztonság, vagyonbiztonság, informatikai biztonság stb. A biztonságmenedzsment ennek a kedvező állapotak a fenntartására tett intézkedések összessége Tudatosan vállalat kockázok

3 A biztonság menedzsment során használt fogalmak Értékek, erőforrások Fenyegetés, fenyegetettség (állapot) Sebezhetőségek, gyengeségek, veszélyforrások Ellenintézkedések Kompromisszumok Maradék kockázat

4 Mi az IT biztonság? Az informatikai erőforrások biztonsága Informatikai erőforrások a COBIT3 szerint: emberek alkalmazások berendezések technológia adat Üzleti követelmény

5 Az IT biztonság értelmezése 1. Informatikai biztonság elemei: Bizalmaság (Confidentiality): azt jelenti, hogy valamit csak korlátozott számú kevesek ismerhetnek. Sértetlenség (Integrity): azt jelenti, hogy valami az eredeti állapotnak megfelel, teljes. Rendelkezésreállás (Availability): a rendszer olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (funkcionalitás), a meghatározott helyen és időben (elérhetőség).

6 Az IT biztonság értelmezése 2. Informatikai erőforrások biztonsága: Hitelesség (Authenticity): az információ forrása az, amit megjelölnek és tartalma eredeti. Letagadhatatlanság (Non-repuditation): hiteles információ (bizonyíték) egy cselekvéssel kapcsolatban.

7 Védekezési területek Fizikai védelem Logikai védelem Adminisztratív védelem

8 Intézkedési formák Preventív Detektív Korrektív

9 Védekezési alapfogalmak „Crystal-box” elv Egy megoldás nem azért biztonságos, mert nem látható át, hanem mert megfelelõen van megtervezve, megcsinálva. „Minimal privilage” Mindenki csak ahoz férjen hozzá, amihez szükséges. „Leggyengébb láncszem” A teljes rendszer erőssége a leggyengébb láncszem erősségétől függ

10 Üzleti folyamatok Az IT biztonsággal kapcsolatos irányítási folyamatok Az IT biztonságirányítás Az IT kockázatmenedzsment Az IT biztonsági program menedzsment Az IT biztonság menedzsment A válaszmenedzsment

11 A biztonságmenedzsment öt kérdése (Bruce Schneier) Milyen értéket védünk? Milyen fenyegetések veszélyeztetik az erőforrásainkat? Hogyan csökkentik az ellenintézkedések a kockázatokat? Milyen új kockázatokat okoz a ellenintézkedés? Milyen költségeket és kompromisszumokat jelentenek az ellenintézkedések.

12 Mit védünk, mennyiért? Védekezés csak annyit ér meg, mint maximum a védendõ érték. (Kockázattal súlyozott érték!) Attack-tree:

13 Ajánlott irodalom www.securityfocus.com  BUGTRAQ  VULNDEV www.schneier.com  http://www.schneier.com/paper-attacktrees-ddj-ft.html www.ranum.com

14 Új szorgalmi feladat Cél: vizsga védelme lehetséges támadásokkal szemben Módszer: attack tree Részletek: költségek, valószínûség, speciális igények, stb. Lehetõségek: bármi ami az eszedbe jut Idõ: pénz

15 Emlékeztető! Jövő héten (02.18.) az előadás elmarad :(


Letölteni ppt "02.11.. A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,"

Hasonló előadás


Google Hirdetések